У нас есть веб-сайт IIS6, который ранее был опубликован с использованием стандартного правила публикации сервера ISA 2006 SP1. В IIS мы требовали, чтобы клиентский сертификат был предоставлен до того, как можно было получить доступ к веб-сайту ... все это работало нормально и изящно.
Теперь мы хотим использовать правило веб-публикации на ISA 2006 SP1 для этого же веб-сайта. Однако похоже, что сертификат клиента сейчас не обрабатывается, поэтому, конечно, пользователь не может получить доступ к веб-сайту.
Я прочитал несколько статей, в которых говорится, что ЦС для сертификата необходимо установить в хранилище доверенных корневых центров сертификации на ISA Server (я сделал это), а также установить сертификат клиента на ISA Server (тоже сделано ). Я также убедился, что ISA Server может без проблем получить доступ к CRL для нашего центра сертификации ...
В свойствах прослушивателя для правила веб-публикации, в разделах «Проверка подлинности» и «Метод проверки подлинности клиента» есть параметр «Проверка подлинности сертификата клиента SSL» ... Я выбираю это, но, похоже, единственный доступный для выбора метод проверки подлинности - это Windows (Active Directory). ... в этой среде нет Active Directory. Когда я настраиваю правило со значениями по умолчанию, я затем пытаюсь открыть свой веб-сайт, и он запрашивает мой сертификат, я выбираю его и нажимаю ОК ... тогда мне выдается следующая ошибка
Код ошибки: 500 Внутренняя ошибка сервера. Сервер отклонил указанный унифицированный указатель ресурсов (URL). Свяжитесь с администратором сервера. (12202)
Я проверяю журналы событий на ISA-сервере и в журналах безопасности, я вижу идентификатор события 536, Аудит сбоев. Причина: компонент NetLogon не активен. Я думаю, что это довольно очевидно, поскольку активного каталога нет.
Есть ли способ заставить это правило веб-публикации работать с использованием клиентских сертификатов в этой среде рабочей группы?
Будем очень признательны за любые предложения или ссылки на полезные документы!
К сожалению, с продуктами на основе ISA (включая TMG 2010) это никогда не работает в режиме рабочей группы. Предполагается, что аутентификация клиентского сертификата всегда выполняется Active Directory - эквивалента IIS Client Certificate Mapper (который выполняет только доверенные сертификаты локального ящика) не существует.
Возможно, вы могли бы посмотреть на использование ARR (Маршрутизация запросов приложений) вместо?
в ISA 2006 SP1 вторичный авторизация по сертификату поддерживается в рабочей группе:
http://blogs.technet.com/b/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspx
обратите внимание на предостережение:
функция ограничена сценариями, в которых проверка подлинности сертификата клиента используется в качестве вторичного метода проверки подлинности с проверкой подлинности на основе форм.
предполагаете, что эта функция не была удалена в FF TMG?
(при этом - сколько я ни пробовал, у меня никогда не получалось, чтобы он работал - всегда получаю ошибку отозванного сертификата)